Virus Cuakep dibangun menggunakan bahasa pemrograman Visual Basic dan file eksekusi yang dihasilkannya telah dikompres menggunakan aplikasi UPX (Ultimate Packer for eXecutables). Jika virus Cuakep berhasil menginfeksi komputerAnda, virus t
ersebut akan melahirkan beberapa file virus yang tersebar di direktori C:\, C:\WINDOWS, dan C:\WINDOWS\System32. File virus yang dihasilkan antara lain vsys.sys, ckpexp.exe, ckpinfo.nfo, ckp.exe, ckpauto.inf, ckplog.log, startup32.exe, sched32, Windows.scr, dan sebagainya.
Jika komputer yang Anda gunakan memiliki partisi drive lain atau memiliki drive hasil pemetaan yang Anda buat, virus Cuakep akan membuat file virus Autorun.inf dan lvsys.exe yang tersimpan di dalam direktori RECYCLER\S-1-5-21-1757981266-1326574676-839522115. Semua file virus yang dihasilkan memilki ciri-ciri menggunakan icon gambar (JPEG), ukuran filenya sebesar 198 KB, dan tipe file-nya adalah Application.
Tidak hanya itu, virus Cuakep juga menghasilkan file pendukung yang tersimpan di dalam direktori C:\WINDOWS\System32. Ada empat file pendukung yang dihasilkan, yaitu ckpcmd.jpg, ckpexp.jpg, startup32.jpg, dan Windows.jpg. Sama seperti virus lokal lainnya, virus Cuakep menyebar ke komputer lainnya memanfaatkan penggunaan removable disk, seperti USB flash disk dan hard disk eksternal.
Pesan cinta: Virus Cuakep juga menyisipkan pesan cinta untuk seseorang.
Matikan: Melalui feature Advanced System Reporter, matikan file virus yang aktif.
Modifikasi System Registry
Untuk melancarkan aksinya, virus Cuakep telah memodifikasi System Registry di Windows. Proses modifikasi yang dilakukan yaitu, menambah, mengubah, dan menghapus data string yang ada di dalam System Registry. Salah satu contoh penambahan data string yang dilakukan adalah menempatkan file virus Cuakep ke dalam sistem agar tetap aktif saat start-up dan menonaktifkan beberapa fungsi yang ada di Windows. Untuk itu, dibuatlah string baru sebagai berikut:
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Lvsystem = C:\WINDOWS\system32\ckp.exe
Avgnt = 0
Egui = 0
Mcagent_exe = 0
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ Explorer
NoDriveAutoRun = 0
-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\ SystemRestore
DisableSR = 1
Sedikitnya, virus Cuakep mengubah empat data string yang ada, seperti data string yang terdapat di dalam Folder Options, Winlogon, Safe Mode, dan Extension File. Contohnya adalah:
-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explore\ Advanced
FriendlyTree = 0
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
Shell = Explorer.exe “C:\WINDOWS\ckpexp.exe”
-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon
LegalNoticeCaption = Welcome to 2010, the …
-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBootAlternateShell = C:\WINDOWS\system32\ckp.exe
Sementara itu, System Registry yang dihapus adalah:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon LegalNoticeText
Menyingkirkan virus Cuakep
Ada beberapa langkah yang dapat dijalankan untuk menyingkirkan virus Cuakep dari komputer Anda. Jika komputer Anda terhubung ke jaringan atau Internet, langkah pertama adalah melepaskan koneksi yang terpasang. Langkah selanjutnya, matikan proses file virus yang sedang aktif. Bagi pengguna aplikasi Norman Security Suite Pro, Anda dapat memakai Advanced System Reporter yang terdapat di dalam feature Intrusion Guard.
Klik kanan icon Norman yang ada di dalam system tray dan pilih menu “Norman Security Suite”. Melalui window utama Norman Security Suite, klik menu “Intrusion Guard | Advanced System Reporter”. Selanjutnya, arahkan mouse ke bagian “Processes” dan klik link “Go to view”. Norman Security Suite selanjutnya akan menampilkan window Advanced System Reporter. Melalui window tersebut, pilih tab “Other” lalu klik kanan file virus yang memiliki icon gambar dan pilih menu “Terminate process”.
Selain memanfaatkan fungsi Advanced System Reporter yang ada di Norman Security Suite, Anda juga dapat menggunakan aplikasi gratis buatan NirSoft, namanya CurrProcess dan dapat di-download melalui www.nirsoft.net/utils/cprocess.html. Selanjutnya, perbaiki System Registry yang berhasil dimodifikasi oleh virus Cuakep.
Berikutnya, hapus file virus yang memiliki ciri-ciri memakai icon JPEG, ekstensi file-nya adalah exe, ukurannya 198 KB, dan tipe file adalah Application. Untuk memudahkan Anda melakukan pencarian file dengan ciri-ciri seperti di atas, sebaiknya tampilkan semua file yang tersembunyi dan gunakan fungsi Search Windows dengan kriteria file *.exe yang memiliki ukuran file sebesar 198 KB. Selanjutnya, hapus penjadwalan (schedule task) yang dibuat oleh virus Cuakep. Caranya, klik “Start | All Programs | Accessories | System Tools | Scheduled Tasks. Hapus seluruh isi file yang dibuat oleh virus, seperti AT1.job, AT2.job, dan sebagainya.
Untuk melakukan pembersihan virus Cuakep secara optimal dan mencegah agar virus tersebut tidak lagi menginfeksi PC Anda, gunakan aplikasi antivirus yang selalu di-update dan memiliki kemampuan untuk mengenali virus ini dengan baik.
